Continuano ad emergere vulnerabilità XSS in Skype. Quindi, sebbene rimanga una delle piattaforme più sicure, anche questo voip Microsoft pare soffrire della sensibilità fisiologica di qualuque IM (Instant Messenger) e chat: i pezzi di codice scritti direttamente nei messaggi causano effetti nefasti. Nel 2011 si potevano attaccare i propri contatti Skype semplicemente compilando il proprio profilo. Oggi, nel 2015 basta inviare la stringa http://: oppure https://: per bloccare permanentemente l’applicazione al destinatario. Questa problematica è già stata parzialmente corretta e comunque si presentava solo per Skype residente su sistemi Windows.
Cosa succede se ricevi il messaggio http://:?
Ora non ti accade nulla poichè la vulnerabilità è stat corretta filtrando questo particolare codice ed impedendone l’invio. In precedenza, subito dopo aver ricevuto questo messaggio avresti visto Skype bloccarsi e chiudersi improvvissamente. Riavviando il tuo Skype non saresti riuscito a risolvere il problema perchè all’avvio dell’applicazione il messaggio sarebbe stato scaricato nuovamente dal server centrale.
Come funzionano gli attacchi XSS?
Per Skype e non solo. Queste vulnerabilità nascono in fase di disegno dell’interfaccia quando ci si dimentica di inserire specifici controlli sui campi di testo editabili. Senza tali controlli tu, utente finale, puoi inserire nei campi di testo dei veri e propri pezzi di codice che ovviamente l’applicazione proverà ad eseguire con esiti imprevedibili ma quasi sempre dannosi. Nel video collegato a questo post puoi vedere un esempio quasi inocuo sempre sul sito di Skype.
Cosa fare se ti hanno inviato un messaggio http://: ed il tuo Skype si è bloccato?
Accedi a Skype da Linux, Mac oppure scarica la versione portable di Skype per Windows. Queste tre versioni dell’applicazione sono immuni dalla vulnerabilità e ti permettono di cancellare il messaggio che hai ricevuto. Infatti cancellando il messaggio incriminato torna operativa anche la versione residente di Skype per Windows.